Active Directory

Möchte man die Personalnummern der Mitarbeiter in die Benutzerverwaltung mit eingeben, so kommt man unter Umständen auf den Gedanken,dass Schema erweitern zu müssen da kein entsprechendes Feld für die Eingabe existiert. Dabei existieren im Schema des Active Directory`s bereits zwei Attribute, nämlich Employee-ID sowie Employee-Number.Deshalb ist es nicht nötig das Schema zu erweitern. Diese tauchen lediglich nicht …

Continue reading Personalnummer im AD eintragen

Mit dem Read-Only Domänencontroller hat Microsoft ein weiteres Highlight in Windows Server 2008 eingeführt,nämlich eine neue Art von Domänencontroller (DC). Einige werden sicherlich denken, dass Microsoft ganz nach dem Motto „Back to the Roots“ sich nicht von dem zu NT-Zeiten existierenden, des BDCs (Backup Domain Controller) lösen konnte.Das ist ein Irrtum, denn ein RODC stellt weitaus …

Continue reading Read-Only Domain Controller (RODC)

Einer der Neuerungen im Windows Server 2008, ist die Möglichkeit des stoppen und starten des Dienstes Active Directory-Domänendienste (Active Directory Domain Services – AD-DS). Dieser Dienst existiert standardmäßig auf jedem Windows Server 2008 Domänencontroller.Der Domänenfunktionsmodus bzw. Gesamtstrukturfunktionsmodus spielt dabei keine Rolle. Das Active Directory ist kein Dienst so wie es die anderen Dienste in der Dienstesteuerung (services.msc) …

Continue reading Active Directory-Domänendienste (AD-DS)

Bei einer standortinternen (Intra-Site) Replikation kündigen die Domänencontroller (DC) vor der eigentlichen Replikation durch eine Änderungsbenachrichtigung(Change Notification) die anstehende Replikation an. Sobald eine Änderung im Active Directory durchgeführt wurde, bekommen die Replikationspartner die sicham gleichen Standort befinden eine Benachrichtigung. Das geschieht ab dem Gesamtstrukturfunktionsmodus „Windows Server 2003“ nach 15 Sekunden (Initial Notification Delay). Falls der Quell-DC …

Continue reading Die Inter-Site (standortübergreifende) Änderungsbenachrichtigung aktivieren

Wenn ein Objekt im Active Directory gelöscht wird, verschwindet das Objekt nicht sofort aus dem Verzeichnis. Denn in größeren Gesamtstrukturenmit einer komplexen Replikationstopologie könnte es durchaus vorkommen, dass ein Domänencontroller der von dieser Löschung noch nichts mitbekommen hat,dass Objekt zurückrepliziert. Deshalb werden (weiter  unten stehende) diverse Attribute eines Objekts behalten und als gelöscht markiert.Anschließend wird …

Continue reading Lingering Objects (veraltete Objekte)

Dem Administrator steht seit Windows Server 2003 in der Microsoft Management Console (MMC) Active Directory-Benutzer und –Computer (dsa.msc)die Funktion Gespeicherte Abfragen zur Verfügung. In diesem Ordner hat man die Möglichkeit Abfragen zu erstellen, bearbeiten und zu speichern.Dabei ist es auch möglich, eigene benutzerdefinierte Abfragen zu erstellen. Abfragen wurden früher aufwändig mit ADSI-Skripten erstellt.Heute lässt es sich …

Continue reading Gespeicherte Abfragen

Das Active Directory speichert alle Informationen der bestehenden Objekte in der Datenbank NTDS.DIT. Im Laufe der Zeit kann es nötig sein,dass Änderungen an diesen (sei es bei einzelnen oder mehreren) Objekten vorgenommen werden müssen. Das Standard Datei-Format das in den LDAP Implementationen verwendet wird, nennt sich LDAP Data Interchange Format (LDIF) und wird in RFC …

Continue reading LDIFDE – LDAP Data Interchange Format Data Exchange

Das Erstellungsdatum eines Benutzerobjekts, kann aus dem Active Directory abgefragt werden. Das Attribut in dem das Datum gespeichert wird, nennt sich When-Created und wird auf andere Domänencontroller,sowie in den globalen Katalog (Global Catalog, GC) repliziert.When-Created   Eine Abfrage per Skript könnte folgendermaßen aussehen:How Can I Get a List of All the Objects that have been …

Continue reading Erstellungsdatum eines Benutzerobjekts

Standorte sind eine (neben Domänencontrollern) physikalische Komponente des Active Directorys. Durch das erstellen von Standorten kann: die Replikation (Inter-Site) zwischen Domänencontrollern (DC) optimiert (standortübergreifend werden die Daten komprimiert) und den Clients, der Zugriff auf Netzwerkressourcen die sich an deren physischen Standort befinden gewährleistet werden, ohne die WAN-Verbindung zu belasten. Grundsätzlich gilt, durch das Festlegen von …

Continue reading Einen Domänencontroller an einen anderen Standort verschieben

Das Authentifizierungsprotokoll das Microsoft seit Windows 2000 in einer Active Directory-Domäne einsetzt, heißt Kerberos in der Version 5  (RFC 1510 [1]). Es wurde ursprünglich Ende der 70er Jahre entwickelt [2]. Microsoft Windows-Betriebssysteme vor Windows 2000 verwenden eine der Lan Manager (LM) -Authentifizierungsmethoden, die keine Unterstützung für Kerberos bieten.   Jeder Benutzer der eine Authentifizierungsanforderung sendet, …

Continue reading Kerberos – Das Authentifizierungsprotokoll unter Windows Server 2003